Die von Socket beschriebene Kampagne setzt auf ein Zusammenspiel von vier Paketen, deren Angriffskette erst greift, wenn alle vier installiert sind. Wie die Nutzer dazu gebracht werden, sie herunterzuladen, ist laut Socket nicht eindeutig geklärt.
Den Auftakt bildet NCryptYo, das sich als das legitime Paket NCrypto ausgibt. Laut dem Sicherheitsforscher Kush Pandya handelt es sich um einen Dropper, der bereits beim Laden ausgeführt wird: Beim Laden der Assembly installiert der statische Konstruktor Hooks im JIT-Compiler, die eingebettete Schadlast entschlüsseln und eine zweite Stufe ausliefern. Diese richtet einen lokalen Proxy auf localhost:7152 ein, der den Datenverkehr zwischen den begleitenden Paketen und einem externen C2-Server des Angreifers vermittelt. Die Adresse des Servers wird zur Laufzeit dynamisch aufgelöst.
Ist der Proxy aktiv, beginnen DOMOAuth2_ und IRAOAuth2.0, die ASP.NET-Identity-Daten über den lokalen Proxy an die externe Infrastruktur zu übertragen. Der C2-Server antwortet mit Autorisierungsregeln, die die Anwendung anschließend verarbeitet – etwa um sich selbst Administratorrollen zuzuweisen, Zugriffskontrollen zu ändern oder Sicherheitsprüfungen abzuschalten und so eine dauerhafte Hintertür zu schaffen. Das vierte Paket, SimpleWriter_, gibt sich als PDF-Konvertierungswerkzeug aus, schreibt aber beliebige, vom Angreifer kontrollierte Inhalte auf die Festplatte und führt die abgelegte Binärdatei mit unsichtbaren Fenstern aus.
“Das Ziel der Kampagne ist nicht, den Rechner des Entwicklers direkt zu kompromittieren, sondern die Anwendungen, die er baut”, erklärte Pandya. Durch die Kontrolle über die Autorisierungsschicht während der Entwicklung erhalte der Angreifer Zugriff auf die später ausgelieferten Produktivanwendungen. Wird die ASP.NET-Anwendung mit den schädlichen Abhängigkeiten in Betrieb genommen, bleibt die C2-Infrastruktur in der Produktivumgebung aktiv, exfiltriert fortlaufend Berechtigungsdaten und nimmt veränderte Autorisierungsregeln entgegen – woraufhin sich der Akteur oder ein Käufer Administratorzugriff auf jede betroffene Instanz verschaffen kann.
Parallel legte Tenable Details zu einem schädlichen npm-Paket namens ambar-src offen, das am 13. Februar 2026 hochgeladen wurde und vor seiner Entfernung mehr als 50.000 Downloads erreichte. Das Paket nutzt den preinstall-Skript-Hook von npm, um bei der Installation Schadcode in index.js auszuführen. Über einen Einzeiler werden je nach Betriebssystem unterschiedliche Schadlasten von der Domain “x-ya[.]ru” nachgeladen. Laut Tenable nutzt das Paket mehrere Techniken zur Tarnung und schleust quelloffene Schadsoftware mit fortgeschrittenen Fähigkeiten auf Hosts mit Windows, Linux und macOS ein. Die gesammelten Daten werden an eine Yandex-Cloud-Domain abgeflossen, um sich in legitimen Datenverkehr einzufügen und auszunutzen, dass vertrauenswürdige Dienste in Unternehmensnetzen seltener blockiert werden.
Tenable stuft ambar-src als ausgereiftere Variante von eslint-verify-plugin ein, einem weiteren bösartigen npm-Paket, das kürzlich von JFrog gemeldet wurde, weil es die Mythic-Agenten Poseidon und Apfell auf Linux- und macOS-Systemen ablegt. “Ist dieses Paket auf einem Rechner installiert oder läuft es dort, muss das System als vollständig kompromittiert gelten”, warnte Tenable. Da möglicherweise ein externer Akteur die volle Kontrolle erlangt habe, beseitige das Entfernen des Pakets nicht zwangsläufig alle dadurch entstandene Schadsoftware.
